3 de abril de 2017

A busca pela origem das APTs: um ataque de 20 anos que segue relevante

Os ataques de ciberespionagem Moonlight Maze se disseminaram como ondas de choque por todos EUA no fim da década de 90– após 20 anos, pesquisadores descobriram as ferramentas do ataque original e encontraram um link para um moderno APT

Pesquisadores da Kaspersky Lab e do Kings College de Londres, buscando uma ligação entre uma ameaça moderna e o Moonlight Maze – ataques, do final dos anos 90, direcionados ao Pentágono, NASA, entre outros -- descobriram amostras e registros pertencentes à um APT antigo. As descobertas mostram que um backdoor usado em 1998 pelo Moonlight Maze para extrair informações de redes de vítimas se conectou a um backdoor usado por Turla em 2011 e, possivelmente, sendo utilizado até 2017. Se a relação entre Turla e Moonlight Maze for comprovada, colocaria a ameaça ao lado do Equation Group em termos de longevidade, já que alguns dos servidores de comando e controle da Equation remetem a 1996.

Relatórios contemporâneos sobre Moonlight Maze mostram como, a partir de 1996, as redes militares e governamentais dos EUA, assim como universidades, instituições de pesquisa e até mesmo o Departamento de Energia norte-americano começaram a detectar brechas em seus sistemas. Em 1998, por conta disso, o FBI e o Departamento de Defesa lançaram uma investigação maciça. A história se tornou pública em 1999, mas grande parte da evidência permaneceu confidencial, deixando os detalhes de Moonlight Maze envolto de mito e sigilo.

Ao longo dos anos, pesquisadores de três países diferentes declararam que Moonlight Maze evoluiu para Turla, um ator de ameaça de idioma russa também conhecido como Snake, Uroburos, Venomous Bear e Krypton. Acredita-se que Turla esteja ativo desde 2007.

Amostras Armazenadas

Em 2016, enquanto pesquisava para seu livro, Rise of the Machines, Thomas Rid, do Kings College London, localizou um antigo administrador de sistemas cujo servidor da organização que trabalhava, havia sido sequestrado como um proxy pelos membros do Moonlight Maze -- esse servidor 'HRTest', foi utilizado para lançar ataques aos EUA. O profissional de TI, agora aposentado, tinha mantido o servidor original e cópias de tudo relacionado aos ataques, e entregou isto ao Kings College e a Kaspersky Lab para uma análise minuciosa.

Os pesquisadores da Kaspersky Lab, Juan Andres Guerrero-Saade e Costin Raiu, juntamente com Thomas Rid e Danny Moore, do Kings College, passaram nove meses realizando uma análise técnica detalhada dessas amostras. Eles reconstruíram as operações, ferramentas e técnicas dos atacantes e conduziram uma investigação paralela para ver se eles poderiam comprovar a ligação com o Turla.

O Moonlight Maze era um ataque baseado em Unix open-source que tinha como alvo os sistemas Solaris, sendo que as descobertas recentes apontam que este utiliza um backdoor baseado em LOKI2 (um programa lançado em 1996 que permite aos usuários extrair dados através de canais secretos). Isso levou os pesquisadores a darem uma segunda olhada em algumas amostras raras de Linux usadas pelo Turla, que a Kaspersky Lab descobriu em 2014, denominadas Penquin Turla – também baseadas em LOKI2. Além disso, a reanálise mostrou que todos eles usam códigos criados entre 1999 e 2004.

Surpreendentemente, este código ainda é utilizado usado em ataques. Em 2011, ele foi descoberto em ação em um ataque ao contratante de defesa Ruag, na Suíça, que foi atribuído ao Turla. Em março de 2017, pesquisadores da Kaspersky Lab descobriram uma nova amostra do backdoor Penquin Turla submetido de um sistema na Alemanha. É possível que o Turla utilize o código antigo para ataques em entidades altamente seguras, a invasão pode ser mais difícil utilizando um conjunto de ferramentas padrão do Windows.

“No final da década de 1990, ninguém previu o alcance e a persistência de uma campanha coordenada de ciberespionagem. Precisamos nos perguntar por que é que os atacantes ainda conseguem aproveitar com sucesso um código antigo em ataques modernos. A análise das amostras do Moonlight Maze não é apenas um fascinante estudo arqueológico; também é um lembrete de que os adversários mais preparados não vão a lugar nenhum, cabe a nós colocar em prática todas nossas habilidades para defender estes sistemas", disse Juan Andres Guerrero-Saade, analista sênior de seguranças, Equipe Global de Pesquisa e Análise da Kaspersky Lab.

Os arquivos recém descobertos da Moonlight Maze revelam muitos detalhes fascinantes sobre como os ataques foram conduzidos usando uma rede complexa de proxies e o alto nível de habilidades e ferramentas usadas pelos cibercriminosos.

Mais informações sobre a sequência de ataque e sua tipologia podem ser encontradas aqui.

Para mais informações, leia o blog no Securelist.com.

Os produtos da Kaspersky Lab detectam com sucesso e bloqueiam o malware usado pelo Moonlight Maze e Pequin Turla.

Detalhes das amostras armazenadas de logs e scripts, assim como Indicadores de Compromisso e hashes para ajudar as organizações a procurarem vestígios desses grupos de ataque em suas redes corporativas estão aqui.

Informações de inteligência avançada sobre as últimas e principais ameaças estão disponíveis nos relatórios de serviço aos usuários da Kaspersky Lab APT Intelligence. Saiba mais.

Articles related to Virus